FontOnLake 惡意軟件

信息安全研究人員發現了一個以前未知的惡意軟件威脅系列。這些新的具有威脅性的作品的特點是具有正在積極開發的自定義構建模塊。這個新建立的惡意軟件家族的名稱是 FontOnLake，它似乎主要針對 Linux 系統。攻擊者的目標是建立對受感染機器的後門訪問並收集敏感數據，例如用戶憑據。

威脅行為者非常重視不被注意。在創建 FontOnLake 威脅時，他們主要使用 C/C++ 和幾個第三方庫，包括 Boost、Poco 和 Protobuf。涉及此惡意軟件系列的操作似乎也具有高度針對性，並且集中在東南亞地區

FontOnLake 結構

FontOnLake 使用多種技術來保持隱藏狀態並增加其躲避檢測的機會。它利用正在修改的合法二進製文件來加載損壞的組件。 FontOnLake 也總是伴隨著一個部署在受感染機器上的 rootkit。總的來說，觀察到的這個惡意軟件家族的組件可以分為三個不同的類別 - 木馬應用程序、後門程序和 rootkit。

每個人都肩負著不同的任務。武器化應用程序由合法二進製文件組成，這些二進製文件經過重新編程以執行惡意活動，例如收集數據或提供附加模塊。自然，後門被攻擊者用作主要的通信渠道，而 rootkit 將自己嵌入系統的內核級別，並協助偽裝威脅的行為、促進更新或充當後備後門。

檢測到的組件變體

研究人員發現了多種武器化應用。這些都是經過修改的標準 Linux 實用程序，用於收集數據或加載自定義後門或 rootkit 組件。因為它們通常在系統啟動時執行，所以它們也可以用作持久性機制。

到目前為止，已經觀察到在 FontOnLake 攻擊中使用了不同的後門。他們採用了 Boost、Poco、Rrotobuf 的庫，以及 STL 的一些特性，包括智能指針。後門在功能上表現出某些重疊，例如能夠洩露收集的數據、操縱文件系統、充當代理和執行任意命令。

到目前為止，已經確定了兩個獨立的 FontOnLake Rootkit。兩者都基於 suterusu 開源項目，但包含一些定制技術。這兩個版本是有區別的足夠，但它們在某些功能上也有重疊。兩者都能夠隱藏進程和文件、屏蔽網絡連接、端口轉發、從攻擊者那裡接收特殊數據包，並將收集到的憑據傳送到後門進行滲漏。